IIS 6/.Net 2:用户A如何获取位于不同会话和另一个计算机上的无关用户B的用户cookie？

Question

1)用户A进入站点，创建账号，登录；2)用户B进入站点。用户b不必登录，就像用户b是用户a一样进入。用户b可以访问用户a的所有数据，并可以以用户a的身份浏览站点。

注意:用户b没有登录。用户b刚刚访问站点，站点返回，就好像用户b已经以用户a的身份登录一样。

注2:用户a和用户b位于不同的计算机上。此外，代码中不涉及静态变量。

设置:IIS6 .Net 2.0 OutputCache关闭网站中的页面

Answer 1

这个问题看起来和Apache/Tomcat error - wrong pages being delivered很相似。正如这个问题的my answer所提到的，如果您使用会话cookie，请检查您的Vary头是否正确。

Answer 2

检查是否没有在静态(c#)或共享(VB)变量中存储任何数据。

Answer 3

来自其他团队成员的研究：

即使身份验证cookie可能在来自门户的图像中，也不应该将带有David票证的身份验证cookie发送到Todd的浏览器。此外，如果图像以某种方式被缓存到某个地方，使得不同的用户获得其他用户的身份验证cookie，那么我认为这个问题会经常发生，并且应该是可重复的。然而，我想知道这是否是负载平衡系统，如果是，负载均衡器会缓存什么吗？

根据ASP.NET、IIS6.0和Windows2003Server输出缓存导致的用户共享会话的已知问题，这个问题可能只在100,000个请求中有1个是可重复的(请参阅本文的“会话和输出缓存”部分) http://msdn.microsoft.com/en-us/magazine/cc163577.aspx